تردید در مورد امنیت مرورگر خوشنام کمودو

مرورگر کمودو را به خاطر می‌آورید؟ یک مرورگر با آیکون اژدها که بر مبنای کدهای منبع بازِ کروم نوشته شده بود و به امنیت شهرت داشت؟ این مرورگر که واسط کاربری‌ای شبیه به کروم دارد، علاوه بر برخی امکانات امنیتی برای حفظ حریم خصوصی، از جمله حذف امکانِ دنبال کردن جستجوهای کاربر، یک گزینۀ بسیار جذاب دیگر را هم ارائه می کند که به کاربر امکان می دهد تا به جای استفاده از DNS سرور ارائه دهندۀ اینترنت، از DNS خود کومودو استفاده کند و این مسئله سبب می‌شود کنترل کاربر در فضای وب بسیار سخت و پیچیده شود. اما به تازگی خبرهایی منتشر شده است که یک نقص امنیتی خطرناک را در این مرورگر گزارش می‌کند.

یک پژوهشگر امنیت وب به نام «تاویس اورماندی» (Tavis Ormandy) متوجه شده است که این مرورگر، در واقع یکی از اصول بنیادین امنیت در وب را نادیده می‌گیرد.

مسئله این است که کدهایی که روی یک وب‌سایت اجرا می‌شوند، بدون پذیرش یک ریسک امنیتی بزرگ نمی‌توانند بر روی وب‌سایت دیگری اجرا شوند. این یک مرجع مورد اجماع برای سیاست‌های امنیتی است.

آنگونه که اورماندی گزارش می‌کند، به دلایلی، این اصل مهم در مرورگر کمودو از کار افتاده است. به نوشتۀ او «کمودو با صفتهایِ بالاترین درجه از سرعت، امنیت و حریم خصوصی تعریف شده است، اما در واقع تمام [اصول] امنیتی وب را از کار انداخته است.

اورماندی اغلب پس از توصیه‌های امنیتی خصوصی خود، به شرکت‌ها 90 روز وقت می‌‌دهد و پس از آن، نقص‌های امنیتی‌ای که کشف کرده است را به صورت عمومی اعلام می‌کند. با توجه به اینکه نخستین اشاره های او به این مسئلۀ خاص به 21 ژانویه باز می گردد، مشخصص است که مدت زمان قابل توجهی از این مشکل کمودو می‌گذرد.

در روز سه شنبه او اعلام کرد که به نظر می‌رسد پس از اعلام نظر او، کمودو تلاش کرده است تا نقص امنیتی مذکور را وصله کند اما به شکل مؤثری این کار را انجام نداده است و او قصد دارد یک گزارش بزرگ جدید تنظیم کند.

مسئولان کمودو هنوز نظر خاصی در این مورد ابزار نکرده اند. با توجه به اینکه این شرکت همچنین عرضه کنندۀ گواهینامه‌های SSL/TLS نیز هست، وضعیت برای آیندۀ این شرکت پیچیده‌تر از همیشه شده است. این پروتکل‌ها مربوط به کدگذاریِ ترافیک داده ها و دیگر محصولات امنیتی هستند.

در روز دوشنبه، اورماندی در توئیتر خود نوشت: «فروختن آنتی‌ویروس صلاحیت شما را برای چندشاخه کردن کرومیوم (Chromium کدهای بازِ مرورگر کروم که کمودو بر اساس آن نوشته شده است) تأیید نمی‌کند؛ شما دارید آن را نابود می‌کنید.»